BIND tem duas falhas críticas de DNS

Cibercriminosos podem falsificar respostas DNS e redirecionar usuários para sites maliciosos. Os desenvolvedores do BIND, o software de resolução de nomes de domínio mais utilizado no mundo, alertaram para duas vulnerabilidades críticas que permitem a invasores falsificar resultados de consultas DNS e direcionar vítimas para páginas fraudulentas, visualmente idênticas às originais.

CVE-2025-40778 e CVE-2025-40780 representam risco elevado

Erros identificados como CVE-2025-40778 e CVE-2025-40780 apresentam alta pontuação de severidade (8,6). O primeiro decorre de um erro lógico no processamento de respostas DNS. O segundo é resultado do enfraquecimento do mecanismo gerador de números pseudoaleatórios. Patches para corrigir ambos os problemas foram publicados na quarta-feira. Vulnerabilidades parecidas apareceram também no resolvedor Unbound, onde receberam pontuação de 5,6.

Poisoning de cache DNS relembra ataque histórico

Ambos os erros permitem envenenar caches DNS, trocando endereços IP legítimos por maliciosos. O cenário remete ao famoso ataque contra a infraestrutura DNS descrito por Dan Kaminsky em 2008. Na época, ele mostrou que o envio massivo de pacotes UDP falsos possibilitava a coincidência dos IDs de transação, permitindo falsificação de IPs para qualquer domínio, incluindo Google ou Bank of America.

Mudanças históricas e retorno do risco

Em resposta ao ataque original, a indústria implementou proteções como a seleção aleatória de portas (em vez da porta fixa 53) nos resolvedores, aumentando a entropia e tornando praticamente impossível acertar a combinação correta.

No entanto, a nova vulnerabilidade CVE-2025-40780 volta a enfraquecer essas barreiras. Segundo os desenvolvedores do BIND, a fraqueza do gerador pseudoaleatório embutido facilita para o atacante prever qual porta e qual identificador de consulta o resolvedor vai usar e, assim, falsificar respostas.

Impacto, exploração e orientações de atualização

A segunda vulnerabilidade, CVE-2025-40778, se relaciona ao fato de o BIND realizar verificações excessivamente permissivas sobre os registros recebidos, por vezes aceitando dados falsos. Isso permite a injeção de respostas DNS fraudadas na cache, afetando consultas seguintes.

Apesar de os novos bugs não representarem perigo no nível do ataque de Kaminsky, as consequências ainda podem ser consideráveis. Servidores DNS autoritativos não são vulneráveis, mas resolvedores dentro de redes corporativas permanecem em risco, especialmente se não utilizarem proteções adicionais.

A Red Hat observou que a exploração dessas vulnerabilidades não é trivial. O ataque exige falsificação de rede, sincronia precisa dos tempos e não resulta no controle do servidor. Mesmo assim, a empresa recomenda instalar as atualizações imediatamente.

Medidas modernas como DNSSEC, limitação de taxa e firewalls continuam contendo a maioria dessas investidas. Contudo, para quem utiliza versões antigas de BIND ou Unbound sem registros assinados, o risco é real. As atualizações já podem ser baixadas nos sites da ISC e da NLnet Labs.